หากคุณมีอุปกรณ์ Android คุณอาจทราบดีถึงข้อผิดพลาด Stagefright
Google, Samsung, HTC, LG, Sony และ Blackphone มือถือรวมถึงผู้ให้บริการที่แตกต่างกันออกแพทช์สำหรับ Stagefright แต่เห็นได้ชัดว่ามันอาจจะไม่เพียงพอ
บริษัท ด้านความปลอดภัย Exodus Intelligence เปิดเผยข้อผิดพลาดในการปรับแต่งซอร์สโค้ดเฉพาะซึ่งรับผิดชอบการทำงานล้มเหลวของอุปกรณ์เมื่อข้อมูลในข้อความมัลติมีเดียถูกเปิดขึ้น และตาม บริษัท ก็สามารถนำไปใช้ประโยชน์ได้
$config[code] not foundในส่วนของการอพยพกล่าวว่า:
“ มีจำนวนมากของความสนใจดึงข้อบกพร่อง - เราเชื่อว่าเราน่าจะไม่ใช่คนเดียวที่จะสังเกตเห็นว่ามันมีข้อบกพร่อง คนอื่น ๆ อาจมีเจตนาร้าย”
ไฟล์วิดีโอ MP4 ที่มีรูปแบบไม่ถูกต้องขัดข้องแม้ในห้องสมุด Android Stagefright ที่ได้รับการติดตั้งแล้วทำให้อุปกรณ์ที่พวกเขากำลังเสี่ยงต่อการถูกโจมตี
ปัญหานี้ได้รับการค้นพบโดยประมาณเมื่อวันที่ 31 กรกฎาคมเมื่อ Jordan Gruskovnjak นักวิจัยด้านความปลอดภัยของ Exodus Intelligence สังเกตว่ามีปัญหาร้ายแรงกับแพทช์ที่เสนอ เขาสร้าง MP4 ขึ้นเพื่อข้ามแพทช์และได้รับการต้อนรับด้วยความผิดพลาดเมื่อมีการทดสอบ
เป็นสิ่งสำคัญที่จะต้องทราบช่องโหว่และความเสี่ยงทั่วไป (CVEs) ทั้งหมดที่ได้รับการแก้ไขและ Google ได้มอบหมายการค้นพบการอพยพด้วย CVE-2015-3864 ดังนั้นจึงตระหนักถึงปัญหานี้เป็นอย่างดี
ดังนั้น Stagefright คืออะไรและทำไมมันจึงเป็นอันตราย?
อ้างอิงจาก Zimperium:
“ ช่องโหว่เหล่านี้เป็นสิ่งที่อันตรายอย่างยิ่งเพราะพวกเขาไม่ต้องการให้เหยื่อดำเนินการใด ๆ เพื่อหาช่องโหว่ ช่องโหว่นี้สามารถถูกกระตุ้นได้ในขณะที่คุณหลับ” บริษัท กล่าวต่อว่า“ ก่อนที่คุณจะตื่นขึ้นมาผู้โจมตีจะลบสิ่งใด ๆ ออกไปจากหอกที่เหยื่อจะต้องเปิดไฟล์ PDF หรือลิงก์ที่ส่งโดยผู้โจมตี สัญญาณของอุปกรณ์ที่ถูกบุกรุกและคุณจะดำเนินการต่อวันของคุณตามปกติ - ด้วยโทรศัพท์โทรจัน”
การหาประโยชน์จาก Android Stagefright สามารถใช้จุดบกพร่องในระบบปฏิบัติการ Android ที่ใช้ประมวลผลเล่นและบันทึกไฟล์มัลติมีเดีย
โดยการส่ง MMS, Stagefright สามารถเข้าไปในอุปกรณ์ของคุณและเมื่อติดเชื้อแล้วผู้โจมตีจะเข้าถึงไมโครโฟนกล้องและที่เก็บข้อมูลภายนอกจากระยะไกล ในบางกรณีสามารถเข้าถึงรูทไปยังอุปกรณ์ได้
ข้อผิดพลาด Android Stagefright ถูกค้นพบครั้งแรกโดย Zimperium zLabs รองประธานฝ่ายวิจัยแพลตฟอร์มและการหาประโยชน์ Joshua J. Drake ในเดือนเมษายน เขากล่าวในภายหลังว่าเขาและทีมของเขาเชื่อว่าเป็น“ ช่องโหว่ Android ที่เลวร้ายที่สุดที่ค้นพบจนถึงปัจจุบัน” และ“ มันเปิดเผยช่วงเวลา 95 เปอร์เซ็นต์ของอุปกรณ์ Android ซึ่งเป็นอุปกรณ์ 950 ล้านเครื่อง”
Zimperium รายงานช่องโหว่ให้กับ Google พร้อมกับโปรแกรมแก้ไขและทำงานได้อย่างรวดเร็วโดยนำโปรแกรมแก้ไขไปใช้กับสาขารหัสภายในภายใน 48 ชั่วโมง
คุณจะทำอะไรได้บ้างจนกว่าจะมีการแก้ไขปัญหาอย่างชัดเจน?
ก่อนอื่นตอบเฉพาะข้อความจากแหล่งที่คุณเชื่อถือ นอกจากนี้ปิดใช้งานคุณสมบัติดาวน์โหลดอัตโนมัติสำหรับ MMS ใน SMS, แฮงเอาท์และวิดีโอในแอปที่คุณติดตั้งไว้ในอุปกรณ์
แต่ละแอปและอุปกรณ์มีตำแหน่งของตัวเอง แต่โดยทั่วไปจะอยู่ภายใต้การตั้งค่าและการดาวน์โหลดสื่อ หากคุณไม่พบแอปพลิเคชันเฉพาะของคุณโปรดติดต่อผู้เผยแพร่แอป
เมื่อต้นเดือนที่ผ่านมา Google ประกาศว่าจะออกแพตช์รักษาความปลอดภัยรายเดือนสำหรับอุปกรณ์ Android ในการประชุมด้านความปลอดภัยแบล็กแฮทโดยมี Samsung ตามหลังชุดสูท
บริษัท ที่ค้นพบ Stagefright เป็นครั้งแรกมีแอพที่มีอยู่ใน Google Play ช่วยให้คุณทราบว่าอุปกรณ์ของคุณมีความเสี่ยงหรือไม่ CVE ของอุปกรณ์ของคุณมีความเสี่ยงหรือไม่และคุณต้องการอัปเดตระบบปฏิบัติการมือถือของคุณหรือไม่ นอกจากนี้ยังทำการทดสอบ CVE-2015-3864 ซึ่งเป็นช่องโหว่ของ Exodus Intelligence ที่ระบุ
Android เป็นแพลตฟอร์มระบบปฏิบัติการมือถือยอดนิยม แต่มีการแยกส่วนอย่างมาก หมายความว่าไม่ใช่ทุกคนที่ใช้ระบบปฏิบัติการล่าสุดหรืออัปเดตความปลอดภัยซึ่งทำให้ยากมากที่จะมั่นใจได้ว่าอุปกรณ์ Android ทุกชิ้นได้รับการปกป้อง
หากผู้ผลิตสมาร์ทโฟนของคุณไม่ได้ทำการติดตั้งอุปกรณ์ให้คำนึงถึงมือของคุณเองและตรวจสอบให้แน่ใจว่าคุณมีการอัปเดตล่าสุดสำหรับอุปกรณ์ของคุณตลอดเวลา
ภาพ: อุปกรณ์ตรวจจับ Stagefright / Lookout Mobile Security
เพิ่มเติมใน: Google 3 ความคิดเห็น▼
